Vigil@nce - Ruby : Cross Site Scripting via WEBrick
mai 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut inviter la victime à consulter un document web
illicite, afin de provoquer un Cross Site Scripting dans les sites
web développés avec Ruby WEBrick.
Gravité : 2/4
Date création : 23/05/2011
PRODUITS CONCERNÉS
– Fedora
– Mandriva Corporate
– Mandriva Enterprise Server
– Mandriva Linux
– Microsoft Windows - plateforme
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Le module WEBrick permet de développer un site web en langage Ruby.
Le fichier WEBrick httpresponse.rb génère les réponses HTTP.
Cependant, ce module ne force pas l’encodage de caractère
(Content-type : text/html ; charset=ISO-8859-1) dans les pages
générées. Un attaquant peut alors employer la vulnérabilité
VIGILANCE-VUL-7812 (https://vigilance.fr/arbre/1/7812) pour
injecter des données qui sont interprétées en UTF-7 par Internet
Explorer.
Un attaquant peut donc inviter la victime à consulter un document
web illicite, afin de provoquer un Cross Site Scripting dans les
sites web développés avec Ruby WEBrick.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Ruby-Cross-Site-Scripting-via-WEBrick-10677